Descripción general del RBAC de datos
El control de acceso basado en roles de datos (RBAC de datos) es un modelo de seguridad que usa roles del usuario individuales para restringir el acceso de los usuarios a los datos dentro de una organización. Con el RBAC de datos, los administradores pueden definir permisos y asignarlos a los usuarios para ayudar a garantizar que puedan acceder solo a los datos necesarios para su trabajo funciones.
En esta página, se proporciona una descripción general del RBAC de datos y se ayuda a entender cómo las etiquetas y permisos funcionan en conjunto para definir los permisos de acceso a los datos.
Diferencia entre el RBAC de datos y el RBAC de funciones
El RBAC de datos y el RBAC de funciones son métodos para controlar el acceso en un pero se enfocan en diferentes aspectos.
El RBAC de funciones controla el acceso a funciones o funcionalidades específicas en un sistema de archivos. Determina a qué funciones pueden acceder los usuarios según su roles de seguridad. Por ejemplo, un analista junior podría tener acceso solo para ver paneles, pero no para crear o modificar reglas de detección, mientras que un analista sénior podría tener los permisos para crear y administrar reglas de detección. Para obtener más información RBAC de las funciones, consulta Configura el control de acceso a las funciones con la IAM.
El RBAC de datos controla el acceso a datos o información específicos dentro de un sistema. Controla si un usuario puede ver, editar o borrar datos según sus roles. Para Por ejemplo, en un sistema de administración de relaciones con clientes (CRM), un representante podría tener acceso a los datos de contacto del cliente, pero no y a los datos financieros, mientras que un gerente de finanzas podría tener acceso a esos datos pero no los datos de contacto del cliente.
El RBAC de datos y el RBAC de atributos suelen usarse en conjunto para proporcionar un sistema de control de acceso integral. Por ejemplo, se le podría permitir a un usuario acceder a un (función RBAC) y, luego, dentro de ella, su acceso a es posible que se restrinjan los datos según su rol (RBAC de datos).
Planifica la implementación
Para planificar tu implementación, revisa la lista de Google SecOps. roles y permisos predefinidos de Google SecOps según los requisitos de tu organización. Diseñar una estrategia para definir los alcances que tu organización necesita y etiquetar los datos entrantes. Identificar qué miembros de la organización deben tener acceso a los datos asociados estos alcances. Si tu organización requiere políticas de IAM que difieren de roles predefinidos de Google SecOps, crear roles personalizados para cumplir con estos requisitos.
Funciones de usuario
Los usuarios pueden tener acceso a datos con alcance (usuarios con permiso) o acceso a datos globales (usuarios globales).
Los usuarios con permisos limitados tienen acceso limitado a los datos según los permisos asignados. Estos restringen su visibilidad y sus acciones a datos específicos. El objetivo específico Los permisos asociados con el acceso específico se detallan en la siguiente tabla.
Los usuarios globales no tienen permisos asignados y tienen acceso ilimitado a todos los datos en Google SecOps. Los permisos específicos asociados con el acceso acceso se detallan en la siguiente tabla.
Los administradores del RBAC de datos pueden crear alcances y asignarlos a los usuarios para controlar su acceso a los datos en Google SecOps. Para restringir a un usuario a determinado
permisos, debes asignarles el acceso de datos restringidos de la API de Chronicle
(roles/chronicle.restrictedDataAccess
) junto con
un rol predefinido o personalizado. El rol de acceso a los datos restringido de la API de Chronicle
identifica a un usuario como un usuario con permiso. No es necesario asignar el nivel
El rol de acceso a los datos restringido está destinado a los usuarios que necesitan acceso a datos globales.
Se pueden asignar los siguientes roles a los usuarios:
Tipo de acceso | Funciones | Permisos |
---|---|---|
Acceso global predefinido | A los usuarios globales se les puede otorgar cualquiera de los roles de IAM predefinidos. | |
Acceso de solo lectura con alcance predefinido | Acceso a los datos restringido de la API de Chronicle (roles/chronicle.restrictedDataAccess ) y Visualizador de acceso a los datos restringido de la API de Chronicle (roles/chronicle.restrictedDataAccessViewer )
|
Visualizador de acceso a datos restringido de la API de Chronicle |
Acceso centrado en el usuario personalizado | Acceso a los datos restringido (roles/chronicle.restrictedDataAccess ) y rol personalizado de la API de Chronicle
|
Permisos personalizados en las funciones |
Acceso global personalizado | Permiso chronicle.globalDataAccessScopes.permit y rol personalizado
|
Permisos globales dentro de las funciones |
A continuación, se incluye una descripción de cada tipo de acceso que se presenta en la tabla:
Acceso global predefinido: por lo general, este acceso es necesario para los usuarios que necesitan acceso a todos los datos. Puedes asignar uno o más roles a a un usuario en función de los permisos necesarios.
Acceso de solo lectura con alcance predefinido: Este acceso es para usuarios que necesitan acceso de solo lectura. el acceso a los datos. El rol de acceso a los datos restringido de la API de Chronicle identifica a un usuario como usuario específico. El rol Visualizador de acceso a los datos restringido de la API de Chronicle otorga vistas el acceso a los usuarios en sus funciones.
Acceso personalizado con alcance: El rol de acceso a los datos restringidos de la API de Chronicle identifica a un usuario como un usuario con alcance. El rol personalizado especifica las funciones a las que puede acceder el usuario. Los permisos agregados al rol de acceso a datos restringido de la API de Chronicle especifican la los datos a los que los usuarios pueden acceder en los atributos.
Acceso global personalizado: Este acceso está destinado a los usuarios que necesitan acceso sin restricciones.
permisos dentro de sus funciones asignadas. Para otorgar acceso global personalizado a un
usuario, debes especificar el permiso chronicle.globalDataAccessScopes.permit
además del rol personalizado que se asigna al usuario.
Control de acceso con permisos y etiquetas
Google SecOps te permite controlar el acceso a los datos de los usuarios a través de permisos. Los alcances se definen con la ayuda de etiquetas que definen los datos que un usuario a los que tiene acceso el permiso. Durante la transferencia, los metadatos se asignan a los datos en forma de etiquetas, como espacio de nombres (opcional) y metadatos de transferencia (opcional), y el tipo de registro (obligatorio). Son etiquetas predeterminadas que se aplican a los datos durante la transferencia. Además, puede crear etiquetas personalizadas. Puedes usar etiquetas predeterminadas y personalizadas para definir los permisos y los datos el nivel de acceso que definirán los permisos.
Visibilidad de los datos con etiquetas de permiso y denegación
Cada alcance contiene una o más etiquetas de acceso permitido y, de forma opcional, denegar acceso. Las etiquetas de acceso permitido otorgan a los usuarios acceso a los datos asociados con la etiqueta. Las etiquetas de denegación rechazan a los usuarios el acceso a los datos que se asocia con la etiqueta. Las etiquetas de denegación del acceso anulan el permiso de acceso para restringir el acceso de los usuarios.
En una definición de permiso, permite etiquetas de acceso del mismo tipo (por ejemplo, tipo de registro) se combinan con el operador OR, mientras que las etiquetas de distintos tipos (por ejemplo, tipo de registro y etiqueta personalizada) se combinan con el operador AND. Las etiquetas de acceso denegado se combinan con el operador O. Cuando varios rechazan el acceso las etiquetas se aplican dentro de un permiso, el acceso se deniega si coinciden con CUALQUIERA de ellas con etiquetas de recursos.
Por ejemplo, considera un sistema de Cloud Logging que categoriza los registros con el los siguientes tipos de etiquetas:
Tipo de registro: Acceso, sistema, firewall
Espacio de nombres: App1, App2, Base de datos
Gravedad: Crítica, Advertencia
Considera un permiso llamado Registros restringidos que tiene el siguiente acceso:
Tipo de etiqueta | Valores permitidos | Valores denegados |
---|---|---|
Tipo de registro | Acceso, firewall | Sistema |
Espacio de nombres | App1 | Aplicación2, base de datos |
Gravedad | Advertencia | Crítico |
La definición del alcance se ve de la siguiente manera:
Permitir: (Log type: "Access" OR "Firewall") AND (Namespace: "App1") AND (Severity: "Warning")
Rechazar: Log type: "System" OR Namespace: App2 OR Namespace: Database OR Severity: "Critical"
Ejemplos de registros que coinciden con el alcance:
- Registro de acceso de App1 con gravedad: Advertencia
- Registro de firewall de la App1 con gravedad: Advertencia
Estos son algunos ejemplos de registros que no coinciden con el alcance:
- Registro del sistema de la App1 con gravedad: Advertencia
- Registro de acceso desde la base de datos con gravedad: Advertencia
- Registro de firewall de App2 con gravedad: crítica
Visibilidad de datos en eventos enriquecidos
Los eventos enriquecidos son eventos de seguridad que se mejoraron con contextual y de información más allá de lo que contienen los datos de registro sin procesar. Eventos enriquecidos sean accesibles dentro de un permiso solo si se puede acceder a su evento base dentro del alcance. y ninguna de las etiquetas enriquecidas no incluye las etiquetas de denegación del permiso.
Por ejemplo, considera un registro sin procesar que indica un intento de acceso fallido desde una IP
y tiene una etiqueta enriquecida user_risk: high
(indica un usuario de alto riesgo).
Un usuario con un permiso que tiene la etiqueta de denegación user_risk: high
no puede ver el error
intentos de acceso por parte de usuarios de alto riesgo.
Impacto del RBAC de datos en las funciones de Google Security Operations
Después de configurar el RBAC de datos, los usuarios comienzan a ver datos filtrados en las funciones de Google Security Operations. El impacto depende de cómo se integra la función con los datos subyacentes. Para comprender cómo el RBAC de datos influye en cada función, consulta Impacto de las funciones de RBAC de datos de Google Security Operations.